headless 曰く、

Mozillaの「The Firefox Frontier」ブログでFirefox向けプライバシー拡張機能として推奨された拡張機能14本のうち1本が接続先URLなどをサーバーに送信していることが指摘され、記事から記述が削除されている(The Registerの記事、 Bleeping Computerの記事、 Kuktez IT Security Blogの記事、 gHacksの記事)。

この拡張機能「Web Security」はドイツのCreative Software Solutionsという会社が開発したもの。Mozillaのアドオンサイトから22万回以上ダウンロードされている。問題はブログ記事に関するRedditのスレッドで、新しいページを読み込むたびにデータがhttp://136.243.163.73/に送信されているとuBlock Origin開発者のRaymond Hill(gorhill)氏が指摘した。このデータは暗号化されているが、復号用のスクリプトが拡張機能に含まれており、古いURLや新しいURL、拡張機能が割り当てたユーザーIDなどが送信されていることがKuktez-Forumに投稿される。

ブログ記事からは特に何の説明もなくWeb Securityの項目が削除されているが、本数については当初の14本のままになっている。Mozillaはコミュニティからの懸念の声を受けてWeb Securityの調査を開始し、調査の一環として記事から記述を削除したとThe Registerに伝えたという。一方、Creative Software Solutionsではデータの送信が機能の実現に不可欠であり、ユーザーの閲覧履歴を収集してはいないとThe Registerに説明、なぜ記事から削除されたのかわからないと述べているとのこと。

データがHTTPで送信されていることについてCreative Software Solutionsでは、SSLを使用した通信に変更すべくアップデート版の開発を進めているとMozillaのアドオンページで説明している。なお、gHacksの記事では同じIPアドレスにデータを送信する拡張機能が他にもあることがコメントで指摘されている。